» Kerio WinRoute Firewall

dmdSS
В шапке указан адрес на FAQ по настройке WR, плюс зайди сюда: _http://kerio-rus.narod.ru/ (нада тож наверное его в шапку вынести) - там с картинками все подробно расписано.

Beavius

Цитата:

как этот баг экстрагировать из винроутра?

это не баг...
откликаеться по этим портам протокол инспектор винрута - как раз он то и не пустит внутрь ни какие левые пакеты....

так что просто сканить - не выход - ты попробуй по этим портам что нить сделать из вне - тогда и увидишь... вин рут по умолчанию закрывает все пакеты которые ты русками не разрешил... если не разрешил входящих пакетов по этим портам - пусть откликаються - все равно пакеты дальше он не пропустит..

Hrist
>>ты попробуй по этим портам что нить сделать из вне - тогда и увидишь...

я не собираюсь из вне что то делать, я из локальной сети сканю инет!!! а мне откликаются порты, на которых сервисов НЕТУ

так же откликаюся и 6666-6668, вообщем все порты, стандартные протоколы которых понимает винроутер

можно как нить сделать чтобы не откликались?
ато это наводит некую смуту на юзеров

dmdSS

У меня такая ситуация была. Нас подключили к местной сети с VPN выходом в Инет.
Я начально винроуте настроил с помощью wizard-а безопасность, а VPN заработал благодаря совету kliv1, за что ему огромный спасиб. Надо было разрешить сервис PPTP в местную сетку. Ну а у юзверей прописываешь прокси и на винроуте поголовную авторизацию. Да, у меня еще надо было сделать так, что аутглюк у юзверей работал напрямую, поэтому пришлось DNS прописать в сетевых настройках. Да, если есть местная сеть, то обязательно надо на винроуте настроить маршрутизацию, иначе не будет работать и Инет и местная сеть. ОС на моем серваке Wk2+SP4+patch, винроут 5.1.9



Добавлено:
Народ, плз подскажите, как сделать так, чтобы VPN соединение устанавливалось только по необходимости, а не висело постоянно? Я пробовал ставить параметр On DEMAND, но не помогает. Когда из локальной сети набираешь тот же ya.ru, то авторизация на винроуте происходит, а дальше дело глухо, т.е. он не устанавливает VPN. Сейчас у меня стоит параметр Persistent, постоянно Инет включен, Инет работает, но смысл держать соединение, если нет запросов в течение часа, например.

Заранее благодарен!

Beavius

Цитата:

я не собираюсь из вне что то делать, я из локальной сети сканю инет!!! а мне откликаются порты, на которых сервисов НЕТУ

обалдеть - сканить инет из локальной сети... обычно проксю сканят из вне для определения дыр безопасности... для защит от атак ИЗВНЕ

а из сети ты от кого защищаться будешь - от своих же? ну дык у тя в правилах на локалку стоят какие сервисы? скорее всего Any? т.е. для локалки разрешены все сервсы. Всех пользователей устраивает. Если замучала паранойя - ну определи для локалки конкретные протоколы и порты - тока сразу предупрежу - локалка используеть их немеряную кучу - очень вероятно что ты зарубишь какой нить нужный для локалки порт и начнуться траблы....

Цитата:

Добавлено:
Народ, плз подскажите, как сделать так, чтобы VPN соединение устанавливалось только по необходимости, а не висело постоянно? Я пробовал ставить параметр On DEMAND, но не помогает. Когда из локальной сети набираешь тот же ya.ru, то авторизация на винроуте происходит, а дальше дело глухо, т.е. он не устанавливает VPN. Сейчас у меня стоит параметр Persistent, постоянно Инет включен, Инет работает, но смысл держать соединение, если нет запросов в течение часа, например.

Заранее благодарен!

как только не крутил, все перепробовал , но на VPN это не работает ( вообще что бы произошло такое соединение клиент из локалки должен суметь пропинговать DNS провайдера , а он не может)
p.s. через модем все работает прекрасно ( по требованию), а через VPN или PPPoE не хочет

а чем не устраивает постоянное соединение, платишь-то не за время

mihaelizhe

В принципе-то да, платишь за трафик, а не за время.
Другое дело, насколько безопасно длительное время держать VPN соединение активным? Кстати вчера я почитал описание, скачал с kerio-rus.narod.ru, написано, что чтобы работал On Demand, надо чтобы в ни одном параметре сетевой платы не стояло шлюза по умолчанию. А у меня в той карте, что смотрит в местную сеть стоит и шлюз и DNS прописан.

Можно как-то WinRoute указать, что выход в инет идет через прокси-сервер, но только с определенных машин (хостов), а другим доступ запретить?
А как вообще правила в WinRoute работают? Что сначала отрабатывает: Source, Destination или Service т.е как происходит анализ правила?

Hrist
дамойнах
чушь не пори! я не про то...

VaVan

еще раз повторюсь- перепробовал все варианты, на модеме все прекрасно работает, на VPN нет, а на счет безопасности настраивай ее нормально

Beavius

Цитата:

дамойнах
чушь не пори! я не про то...

1) не матерись
2) а про что?
я тебе популярно рассказал что он следит за теми портами что открыты тобой в траффик полици - т.е.

если бы ты сканил из интернета (извне) то отклик получил бы из тех портов что перечислены у тебя в правилах касающихся интернета....

т.к. сканишь ты из локалки то отклик получаешь от портов что перечислены на правилах касающихся локальной сети а у тебя там как и у всех стоит Any - т.е. все порты.

единственно что могу посоветовать это вообще отключить слежку файрволла за локальным интерфейсом

конфиге прописать для локальных интерфейсов
<variable name="FirewallExclude">1</variable>

Может у кого было, что-то подобное. Пользовалась версией kwf 5.1.10 - все нормально работало. А поставила 6.0.8 не пашет dns forwarding на сервер провайдера и естественно выдает dns lookup failed, хотя адрес тот же самый как был так и остался и все настройки я прописала верно. И кряк вроде к проге тоже нашла, все работает, а форвардинг нет. Кстати и с 6.0.9 то же самое.

Hrist
я тебе еще раз говорю.....
у меня сеть....192.168.бла.бла....
сервер, к нему подключен АДСЛ модем(mtu....stream)....
на сервере настроен НАТ, чтобы юзеры из сети имели ПОЛНЫЙ доступ в инет!

юзеры из сетки сканят ИНЕТ!!!! по порта 80, 21,25, 110, 6666, 6667, 6668 и по некоторым другим! и получают, с какого то пня, ВЕЗДЕ отклик!!!!! по другим портам все ок, если выключаю винроутер тоже все ок по всем портам!!!

винроутер настроен через Wizard... не более и не менее!!!


и получаю вот такую хрень:

Beavius
БББББАААААЛИНН


А Я тебе что уже СОООТЫЙ РАЗ ГОВОРЮ!!!
чего ты хотел - если у тя стоит в Service Any!!!!
так тока ЛАМЕРА делают - у тя все порты открыты и прокся за всеми ими следит и отклик ты получаешь ЕСТЕСТВЕННО ОТО ВСЕХ ПОРТОВ КАКИЕ ТОКА ЕСТЬ!
вот мои правила

т.е. разрешаешь только те сервисы (это синоним - порты) что нужны для работы - тогда будут и откликаться только открытые порты

надеюсь теперь мы поняли друг друга

Hrist
Извини, что встреваю, но помоему НЕ ПОНЯЛИ.
Зачем ты кричишь, что так только ламеры делают, ни о каком ламерстве речи не идет...
Все правильно, если человек на выход исвопльзует гору прог разных и каждой свой сервис подавай. Нету ничего ламерского в Any на выход.
Может у мнего сетка из 5 опытных сотрудников и прятать исходящие порты смысла нет?

А по-поводу вопроса Beavius ты ответа так и не дал.
Человек НЕ ПРОКСЮ СКАНИРУЕТ И НЕ ШЛЮЗ, а ЧЕРЕЗ ШЛЮЗ КОМПЫ РАСОЛОЖЕННЫЕ В ИНЕТЕ
И при включенном винруте откликаются те порты, которые на удаленных компах на самом деле закрыты.
Политики винрута тут вообще обсуждать бессмысленно.
Мне тоже очень интересно, почему при сканировании через винрут, откликаются порты, которые в реальности закрыты на компах В ИНЕТЕ.
Вот ты в тему говорил что-то про протокол-инспекторы.. а вот до конца не объяснил..

Hrist
опять не втему смарозил
:-Р
ктобы говорил про ламерство:))
если много знаешь, а понять о чем идет речь не можешь, то это не есть гуд с твоей стороны :Р
p.s. прокси юзай сам...у меня для всех юзеров прямой нет и открыто всЁ :Р, я добрый админ ;)

KostiKL
вот вот... и я про тоже!!

а насчет протокол-инспектора:
в Services , отключил в HTTP сервисе, "Protokol Inspektor" (none), глюк пропал!!!(аналогично и с FTP, POP3....и т.д.)



НО!!!... теперь в Status-->Host/Users не показывает где в данный мамент юзает юзер, винроутер просто не следит за этими портами :(
но это впринципе не страшно, не такая уж нужная опция...не очень то интересно кто по какой порнухе лазиет:)

меня интересует FTP.
как известно по 21 порту происходит только подконнект и передача команд, файлы же передаются и принимаются совсем по другому порту(data-ftp)! так как этот порт постоянно разный настроить его в политике винроутера низя:(....либо открывать все порты на вход :( тоже не есть гуд:(
а фтп очень нужен, у меня, например, их будет как минимум 5 штук(mapping на компы в сетке)
хочется и ненаблюдать отклика отовсех по 21 порту(а так же например 211, 212, 213, 214, 215 если еще и маппинг на компы в сети) и полноценно юзать ftp.

У кого какие мысли по этому поводу?

Beavius
Заставь FTP-клиента работать в пассивном режиме.

netangel

У меня такая вещь была, когда у нас Инет был через ADSL, некоторые сайты глючили,
FTP вообще не загружались. Winroute 5.1.9, ОС - W2K Server.
Он пытался найти Parent Proxy и затем выдавал ошибку.
6-й winroute я пробовал ставить, но через час примерно он дал сбой и накрылся.
Сейчас Инет через VPN, все работает, в том числе и FTP. Winroute 5.1.9 ОС W2K Server.


Hrist

Плз если не сложно объясни, что значит "Запрет хакерам?"
твоем трафик полиси?

ent
это не есть гуд!
все должно работать даже через эксплорер!

Вообщето протокол инспектор ИНСПЕКТИРУЕТ данные порты..т.е. ПРОСЛУШИВАЕТ! а это значит што они якобы пингуются.. только фигу вы чего от них получите..Так што зря наехали на Hrist'а...Порты с виду открыты, НО! это не значит что сабж вас пустит далее... далее все протокол инспектором порубится... Так что думаю всё же вы не правы..

Beavius, у протокол-инспектора две функции - отслеживать активность по протоколу и(!) следить за дополнительнымы открываемыми портами, в том числе и при работе FTP.

Istorik
я про это и говорю!
но почему изза него я вижу отклик от портов которые на самом деле закрыты?

Serg0FFan
Ты тоже как Hrist про проблему рассказываешь.
На него наехали не потому что он не прав... в том разрезе как он все понял - он правильно все говорит. Вся бадяга из-за того, что "один про Фому, другой про Ерему"
Понимают все прекрасно, что порты на самом деле не открыты, а то что видно - это отклик от инспектора. Просто если концептуально к вопросу подходить, то WinRoute не обеспечивает "прозрачности" которой хотелось бы.
Мечта есть, чтобы функции инспектора были реализованы немного по-другому. Чтобы отклик с удаленного порта, на самом деле закрытого, не приходил.
А ты говоришь
Цитата:

это не значит что сабж вас пустит далее... далее все протокол инспектором порубится

Это ж ты опять нам про настройки TrafficPolicy и WinRoute
Да не в настройках дело! Все и так понятно, что хоть только ftp открой на выход, хоть ты Any там поставь.. все равно ИНСПЕКТОР (если он включен) вернет отклик с этого порта, какую ты машину по ту сторону стенки не сканируй!

Можно ли сделать, чтобы юзеры автоматически логонились, т.е. чтобы если зашел в домен под ВасяП и попытался выйти в инет, то керио определил меня как ВасюП и дал доступ?

KostiKL
C мечтама в суппорт надо обращаться а не здесь друг с другом грызться )

Serg0FFan
Так выясняли... так оно задумано или не догоняет кто!
Теперь знаем, что задумано!

KostiKL
спасибки - теперь усе понял что не понимал... хотели сканить порты других машин на наличие открытых портов ан не получаеться тк.... ну и далее..
алл
извиняюсь за прошлый резкий тон...
Beavius
чтож боюсь не получиться... избавиться можно только отрубив протокол интспектор - но тогда по http не будет авторизации и логов, а фтп будет работать только в пасс режиме...

чес. говоря у них этот испектор изначально кривоваты какойто... раньше почту не всю пускал, теперь вот это еще... выход один стучать в саппорт но боюсь что лиц. пользователей тут врядли найдеться

Hrist
Ну я лиц. пользователь, а толку? Обращался в support - молчок....

all
Есть вопрос по SMTP и инспектору.

Почтовый сервер спрятан за KWF.
Отправляется письмо на xx@rambler.ru. В логах сервера всё ок, письмо принято.
Через час обратил внимание, что KWF пытается чего-то слать по SMTP ко мне(relay сознательно отключен). В каталоге \mqueue\ лежит файл и в нём ответ от рамблера с отлупом 452, типа заходите позже.
Теперь сам вопрос: какого ... этот испектор перехватывает и подделывает ответы почтовых серверов? Ведь такой ответ сервера предполагает дальнейшие попытки передачи, а KWF даже не пытается снова передавать.

Ситуацию удалось победить только отключением протокол-инспектора в сервисе SMTP.

ньдяя....лажа...

2ent

Где-то в документации на KWF написано, что там каким-то образом выполняются функции SMTP релея... Я вот на такие грабли тоже наступил. Действительно, лечится отключением испектора. Как этот механизм работает в KWF и как его отрубить я вот совсем не понял... А \ вот допустим не желаю, что бы у меня файр замимался рассылкой почтовых отлупов. У меня на то почтовый сервер есть... Хорошо, отрубую соответствующий инспектор. Перестает работать вирусная проверка. Это так задумано или поискать граблей?